Cisco Integrated Security Appliance 550 with wireless

Om ons netwerk wat beter te beveiligen hebben wij onlangs onze D-Link Dir 655 router omgeruild voor deze Cisco ISA550W. De ISA550W is een goed gespecte router, tegen een zeer aantrekkelijke prijs. Ik heb zelf weinig ervaring met routers, dus verwacht geen pro review, maar ik wil toch mijn ervaringen delen met mede-tweakers.

Configuratie
De configuratie van de Cisco ISA550W verliep, mede dankzij de handige configuration wizards, vrij vlot. De router was snel up and running. Wel was het even zoeken naar de credentials. Je krijgt er geen boekje bij, en ze staan ook niet op de behuizing.

Bij de configuratie kun je gelijk je security license activeren. Dit werkte niet vanzelf sprekend. Je moet namelijk de license eerst op de site activeren, voordat je deze in de router kunt configureren. Het is nogal contraintuitief dat dat niet in de wizard ingebouwd zit.

NAT
De NAT in de ISA550W is zeer uitgebreid. Zelf gelijk de portforwarding geconfigureerd. Hierin heb je ook de mogelijkheid om het binnenkomende publieke IP adres te configureren, om zo verkeer op meerdere publieke IP adressen door te sluizen.

Een beetje vaag was dat een geforwarde poort van binnen uit niet benaderd kon worden. Wanneer je het publieke IP browst van binnen uit kom je terecht op de configuration utility van de router. Dit had ik bij de D-link nooit gezien. In de manual van de Cisco uiteindelijk iets tegengekomen met 'Hairpinning'. En zo heb ik een Advanced NAT rule kunnen maken van LAN -> Publieke IP1 vertalen naar WAN -> Interne IP1 . Nu werkt het van binnen uit ook

Antispam
Ik heb hier mijn eigen mailserver staan. Daar was het altijd al een gevecht tegen spam. Altijd al flink aan de slag geweest met blocklist providers en eigen blocklists. Momenteel staat de antispam van de Cisco ook aan, en deze houdt nu ongeveer 50% van de binnenkomende mail tegen. De spamfilter doet naar mijn beleving erg goed zijn werk. Jammer is dat je geen logs hebt waarin je kunt achterhalen wat geblokkeerd is. Wel kun je het blokkeren van mail uitzetten, en het subject laten veranderen naar [Spam] oid.

Intrusion Prevention Services
De IPS houdt behoorlijk wat tegen. Ook kun je instellen per email op te hoogte gehouden te worden van aanvallen.

Antivirus
Klinkt leuk maar het is niet mijn ding. Ten eerste is de antivirus relatief laag, en vormt dat een behoorlijke bottleneck op je internet verkeer. Ook is het niet ongebruikelijk dat gewenste services niet meer werken, zoals bijvoorbeeld iTunes Match. Doordat ik dit wel wilde gebruiken, deze service niet kon uitzonderen, en de hit rate van de antivirus nou ook niet je van het leek (soms blijkt de antivirus proxy zelfs uit te vallen, uitgaande van andere reviews), heb ik maar besloten de antivirus uit te zetten.

VPN
De ISA550W ondersteunt verschillende VPN protocollen waaronder diverse IPsec en SSL tunnels en een L2TP server. De IPsec server werkt mooi met bijvoorbeeld iOS, maar elders heb ik het eigenlijk nog niet lekker aan de praat gekregen. De SSL tunnels werken via de Cisco Anyconnect client. Dit werkt erg mooi (ook vanuit dichtgetimmerde netwerken). Jammer is dat de Cisco Anyconnect client nagenoeg niet te downloaden is, omdat hun licentiebeheer op de website nogal crappy werkt. Site-to-site VPN heb ik niet uit kunnen testen. Wat overigens wel heel mooi werkt is dat je LDAP/ Active Directory kunt koppelen aan je ISA550W en op deze manier vanaf VPN met je directory gegevens kunt inloggen.

Dual WAN failover/load balancing niet kunnen testen.